金融行业端点准入防御解决方案

  端点准入防御(EAD,Endpoint Admission Defense)解决方案从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。  概述

  在互联网技术的发展应用过程中,伴随着网络应用软硬件技术的快速发展,网络信息安全问题日益严重,新的安全威胁不断涌现,特别是金融行业、其数据的特殊性和重要性、更成为黑客们攻击的重要对象,针对目前金融系统计算机犯罪频率越来越高,手段越来越复杂,银行损失金额越来越大。

  目前金融系统网络安全威胁主要有:

  1.通过攻击接口进行非法入侵 :根据各级局域网、广域网、及服务器接口的情况,可以通过下面几种方式进行攻击:业务系统拒绝服务;通过猜测获得内部主机其他服务的访问权限;内部网络拓扑信息外泄;局域网中数据的截获。

  2.针对系统自身存在缺陷进行攻击:利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。此类攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等。

  网络安全问题的解决,三分靠技术,七分靠管理,严格管理是金融机构及用户免受网络安全问题威胁的重要措施。根据调查表明,网络安全的威胁60%来自网络内部,网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、使用网络管理员禁止使用的软件等行为在金融系统内部网络中也比比皆是。如果只是通过防火墙和在网络设备上配置一系列访问控制策略是无法完全避免各种安全威胁的,而必须从用户接入终端-网络设备-中心服务器提供一系列端到端的安全解决方案。所以首先要从网络接入端点的安全控制入手,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力。

  针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,我们必须在接入层设置强大的安全屏障,华为3Com公司推出了端点准入防御(EAD)解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。

  EAD简介

  原理

  EAD解决方案提供企业网络安全管理的平台,通过整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业网络安全策略,提高网络终端的主动抵抗能力。其基本原理图如下:

  EAD系统由四部分组成,具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。

  安全策略服务器是EAD方案中的管理与控制中心,是EAD解决方案的核心组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的CAMS产品实现了安全策略服务器的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制,同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上网行为和安全事件。

  安全客户端平台是安装在用户终端系统上的软件,该平台可集成各种安全厂商的安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。

  安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入管理平台作为安全策略服务器,提供标准的协议接口,支持同交换机、路由器等各类网络设备的安全联动。

  第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,第三方安全产品的功能集成至EAD解决方案种,实现安全产品功能的整合。

  EAD原理应用EAD系统实现终端安全准入的流程:

  1. 用户终端试图接入网络时,首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证,非法用户将被拒绝接入网络;

  2. 合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本等信息是否合格,不合格用户将被安全联动设备隔离到隔离区;

  3. 进入隔离区的用户可以根据企业网络安全策略,通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作,直到接入终端符合企业网络安全策略;

  4. 安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。

  功能特点

  完备的安全状态评估

  用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能正常访问网络。

  实时的“危险”用户隔离

  系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。

  基于角色的网络服务

  在用户终端在通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全客户端下发系统配置的安全策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理,并实时应用实施。

  可扩展的、开放的安全解决方案

  EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。

  EAD也是一个开放的解决方案。EAD系统中,安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面,目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。

  灵活、方便的部署与维护

  EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。EAD可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。

  EAD在金融行业的应用

  EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,可以配合金融广域网及局域网的交换机、路由器、VPN网关等网络设备,实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的安全防护。

  具体包括:

  局域网安全防护

  在金融机构内部局域网中,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自网络内部的安全威胁。

  无线接入网络的安全防护

  WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易感染病毒和木马或出现长期不更新系统补丁的现象,给网络带来安全隐患。与局域网接入防护类似,对于这种无线接入的用户,EAD也可以在交换机配合下,通过实现用户接入终端的安全控制,实现用户网络的安全保护。

  数据中心关键数据保护

  金融系统中不同部门的用户,网络管理员将对其赋予不同的访问权限和安全规则,通过EAD下发的安全策略,可以控制内部用户对数据中心不同服务器的访问权限,同时由于可访问该数据服务器的用户均通过EAD的安全状态检查,避免数据遭受非法访问和攻击。

  网络入口安全防护

  对于金融机构新业务的开展,包括各种中间业务和大额支付、代收代付业务等,都存在与第三方合作机构的网络对接,这种组网方式受到的安全威胁也更严重。为了确保接入金融机构网络的用户具有合法身份且符合金融行业安全标准,可以在外联路由器上实施EAD准入认证。

  结论

  EAD为金融网络提供了一个全新的安全防御体系,该系统作为网络安全管理的平台,将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。通过对网络接入终端的检查、隔离、修复、管理和监控,有效管理网络安全,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,让网络拥有“自动免疫”的安全机能。结合金融网络中的系列防火墙、IDS、IPS、VPN网关、以及网络设备、主机服务器,为金融系统提供端到端的安全解决方案。

时间: 2024-09-20 05:22:30

金融行业端点准入防御解决方案的相关文章

趋势科技并购 HP TippingPoint 打造革命性网络防御解决方案

美国时间10月21日,全球云计算及虚拟化安全的领军企业趋势科技已正式和新一代入侵防护系统(NGIPS)暨相关网络安全解决方案领导厂商HP TippingPoint签署并购合约.这项金额大约3亿美元的并购合约范围涉及信息安全技术.知识产权.专业能力以及数量庞大的忠实企业客户.这项并购将使趋势科技成为企业级动态威胁防御解决方案的领导厂商,将实现对端点.网络.数据中心及云端的全面安全防护.此外,趋势科技也将结合现有及并购的资源,成立一个网络防御业务部门,专门为超过3500家企业客户提供服务. 目前"无

趋势科技并购TippingPoint 打造革命性网络防御解决方案

美国时间10月21日,全球云计算及虚拟化安全的领军企业趋势科技已正式和新一代入侵防护系统(NGIPS)暨相关网络安全解决方案领导厂商HP TippingPoint 签署并购合约.这项金额大约3亿美元的并购合约范围涉及信息安全技术.知识产权.专业能力以及数量庞大的忠实企业客户.这项并购将使趋势科技成为企业级动态威胁防御解决方案的领导厂商,将实现对端点.网络.数据中心及云端的全面安全防护.此外,趋势科技也将结合现有及并购的资源,成立一个网络防御业务部门,专门为超过3500家企业客户提供服务. 目前"

思创银联推“构建金融行业移动云平台”解决方案

中国北京-2012年4月24日 "微软金融业创新周"展会在4月24日-4月27日举行,本次微软金融业创新周以创新为核心,通过"网点创新"和"资本市场电子交易创新科技"提升竞争能力.北京思创银联科技http://www.aliyun.com/zixun/aggregation/7494.html">股份有限公司作为微软嵌入式的金牌合作伙伴,受邀参加微软"金融业创新周"展会.在本次活动上,思创银联推出"构

启明星辰发布国内首个网关级APT防御解决方案

2014年7月3日北京消息 今天安全厂商启明星辰在京发布了国内首个网关级APT防御解决方案­­--私有云防护.这套解决方案通过应对已知/未知恶意代码攻击.0day/1day漏洞等攻击的鉴别系统,与若干网关设备联动实现,属于网关级高级安全防御解决方案.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' src="http://s3.51cto.com/wyfs02/M00/39/3A/wKiom1O2UXKADTb4

某金融行业数据中心布线解决方案

自从出现数字化金融以来,数据中心作为数字化交易的核心,被各个金融系统广泛采用.目前随着金融电子化的推广,客户市场细分的深入,金融产品设计的专业化,以及对于金融系统安全性的要求.金融系统的数据中心需要更强大的运算能力,更多的存储空间,更安全可靠的规划和设计.对于综合布线系统,这也体现在数据中心产品和规划上,金融系统相比其他行业的数据中心,诸如电信IDC机房,互联网企业数据中心等,有其自身特有的特点和要求.本文也结合罗森伯格近期成功实施的某金融企业的数据中心案例为背景谈谈金融数据中心的布线解决方案.

H3C iMC广电行业电视台办公网络解决方案

办公网目前的安全需求主要来自于以下几方面: 网络出口安全设计?  DMZ区和数据中心大量服务器资源的安全保护? 内网终端接入的认证,对不同部门的服务器资源的访问权限的设置  移动终端VPN接入后,如何进行安全认证.访问权限设置?  如何及时对所有终端(移动和非移动)的系统补丁及病毒库进行更新?  如何保障网络出口带宽的有效利用,保证电视台数字电视.WEBTV(网络电视直播)的有效开展? 因此,针对以上需求,我们提供IPS入侵防御系统和EAD端点准入防御系统可以很好帮助电视解决这些安全问题

电力二次安全防护解决方案

电力二次系统安全概述 近年来,信息技术在电力企业管理.生产管理和过程管理中的应用,提高了电力企业的生产运行和经营管理水平.电力行业是国家重要的能源支柱产业,也是我们日常工作和生活的基础保障. 电力行业中对信息安全业务影响最大的两个文件是国家经贸委<电网和电厂计算机监控系统及调度数据网络安全防护规定>([2002]第30号令)和国调中心发布的"全国电力二次系统安全防护总体方案".这两个文件从政策法规的层面和技术方案的层面,规定了电力企业,尤其是电力调度部门信息安全建设的具体措

H3C 运营商内网控制系统解决方案

长期以来,人们通常认为安全问题主要源于外面因素,于是大家都希望在网络接入处部署安全设备,把病毒和攻击挡在门外.殊不知,堡垒最容易从内部攻破,有许多重大的网络安全问题正是由内部员工引起的.据美国CSI/FBI计算机安全调查的数据,虽然来自内部的攻击占总攻击次数的22%,但是破坏力却是外网攻击的10倍以上. 运营商的支撑网(内网)是其核心的IT资源,随着运营商业务开展和安全威胁发展趋势,运营商的支撑网普遍存在如下问题,有很大的安全风险: 网络全连通,支撑系统没有有效隔离 支撑网网络结构复杂,边界不清

解读万兆IT时代安全

[51CTO.com 综合报道]随着万兆网络从最初的市场培育期迈入了应用的 高速发展期,用户在一片"风光"的背后,也不得不面临着迎来了安全问题带来的"双刃剑",无处不在的安全威胁将万兆IT应用推入了"内忧外患"的尴尬境地.我们知道,万兆以太网带来的不仅仅是简单的网络速度的提升,更重要的是为应用开拓了更为广阔的空间.随着万兆网络的使用与普及,人们对于网络的应用需求无论从外延和内涵上,都有了 新的内容,而所面临的网络安全威胁也日新月异.如果处理不当,